PCQQ9.6.6(28796) 通信报文解析

工具

• Wireshark
• 飞鸟嗅探

0825

NO.1 2022-09-21 22:17:57 SEND 163字节 [UDP-电脑QQ 192.168.0.18:4023->59.83.209.70:8000] 
02 3B 17 08 25 2F 67 01 D0 4C 46 03 00 00 00 01 01 01 00 00 6A 6D 00 00 00 00 5A D4 04 4E D2 4E 2E 45 C7 1F EC B8 A9 05 D4 73 EE 03 5B 61 51 21 74 B3 2E 01 A2 4D 14 1F 7A 62 27 88 D7 C4 E2 74 3A AB 82 4B 41 8E 27 4C 70 37 BE 08 DE 28 F9 2A 74 41 75 60 CC 9A D4 E9 C1 59 33 B4 3D CC 67 A3 40 99 FD 5A 8D C2 63 00 BB 6E 39 71 D7 A8 0C 2B 65 FA 7F 0F 62 51 22 0D D1 7A D8 68 04 D2 4E 05 7D EC 3F 57 77 98 78 35 2F 29 8D 71 8B 42 2A 79 B4 60 51 00 40 66 A2 32 E4 A6 4F D9 16 6A E4 75 BC 68 03

=====> 备注 =====>

NO.1 2022-09-21 22:17:57 SEND 163字节 [UDP-电脑QQ 192.168.0.18:4023->59.83.209.70:8000] 
02    // 包头
3B 17    // version
08 25    // 包指令
2F 67    // 序列号
01 D0 4C 46    // QID
03 00 00  // XxooA 
00 01 01 01  // dwClientType
00 00 6A 6D  // dwPubNo
00 00 00 00    // XxooD
5A D4 04 4E D2 4E 2E 45 C7 1F EC B8 A9 05 D4 73    // TEA Key
EE 03 5B 61 51 21 74 B3 2E 01 A2 4D 14 1F 7A 62 27 88 D7 C4 E2 74 3A AB 82 4B 41 8E 27 4C 70 37 BE 08 DE 28 F9 2A 74 41 75 60 CC 9A D4 E9 C1 59 33 B4 3D CC 67 A3 40 99 FD 5A 8D C2 63 00 BB 6E 39 71 D7 A8 0C 2B 65 FA 7F 0F 62 51 22 0D D1 7A D8 68 04 D2 4E 05 7D EC 3F 57 77 98 78 35 2F 29 8D 71 8B 42 2A 79 B4 60 51 00 40 66 A2 32 E4 A6 4F D9 16 6A E4 75 BC 68    // TEA Crypt
03    // 包尾

=====> TEA 拆包 =====>

00 18 00 16 00 01 00 00 04 61 00 00 00 01 00 00 17 23 01 d0 4c 46 00 00 00 00 03 09 00 0a 00 0a 00 04 3b 53 d1 46 00 02 00 36 00 12 00 02 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 14 00 1d 01 03 00 19 03 65 a1 ce 0a 06 9c 5e 8b 89 6a 51 24 ac 2e 3d fc ba fe cc 60 bd 81 67 9a 05 11 00 06 0a 00 00 00 00 01

=====> TEA 拆包备注 =====>

00 18    // SSO2::TLV_Ping_0x18
00 16    // len: 22
    00 01  // pingVersion  
    00 00 04 61  // dwSSOVersion
    00 00 00 01  // dwServiceId
    00 00 17 23  // dwClientVer
    01 d0 4c 46  // dwUin 
    00 00  // redirectTimes
    00 00  // unknown const
03 09  // SSO2::TLV_Ping_Strategy_0x309
00 0a  // len: 10
    00 0a // wSubVer
    00 04  // unknown const(可能是 ipv4 的标识)
    3b 53 d1 46  // dwServerIP
    00  // referCount(接下来就会有 n 个 refer 记录, 以 00 04 开头, 再跟上 4 字节的 ip 地址, 因为这里是第一次发出去的包, 所以 refer 记录是 0)
    02  //  cPingType
00 36  //  SSO2::TLV_LoginReason_0x36
00 12  // len: 18
    00 02  // wSubVer
    00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00  // unknown const
01 14  //  SSO2::TLV_DHParams_0x114
00 1d  // len: 29
    01 03  //  wSubVer
    00 19  //  bufDHPublicKey length: 25
    03 65 a1 ce 0a 06 9c 5e 8b 89 6a 51 24 ac 2e 3d fc ba fe cc 60 bd 81 67 9a  //  bufDhPublicKey
05 11  // unknown Tag
00 06  // len: 6
0a 00 00 00 00 01  // unknown const

参考链接

• QQ 版本号大全
• 腾讯QQ协议分析文档 (这份文档中的有些内容已经过时)
• PCQQ-Protocol (代码中的 Packets 很有参考价值)
• OD查找PCQQ SessionKey教程 (这个还没实践)

备注: 其实现在网上基本全部都是对抓包数据的分析, 而这些内容也都是参考前人的分析成果进行结论的验证而已(还有一部分是直接搬运), 并不能算是真正的协议分析, 其参考意义也有一定的局限性。如果想要实现真正的协议分析应该需要从逆向入手来完成。